Захист мережі від зовнішніх втручань


Захист від комп’ютерних вірусів

Прикладом одного з найбільш поширених типів втручання в і роботу мережі, яким не можна нехтувати, є комп’ютерний вірус.Добра безпека передбачає своєчасне виявлення вірусів і негайну реакцію на них. Вірус може бути внесений в систему фізично, наприклад, з дискети, або через мережу. Найчастіше вірусами заражаються виконавчі файли з розширеннями .EXE, .BAT, .COM і .SYS. Деякі віруси тільки займають місце і розповсюджуються, інші можуть завдати серйозної шкоди даним і апаратним пристроям.

Для боротьби з вірусами використовують антивірусні програми двох типів:

– детектори вірусів (антивірусні сканери);

– антивірусні монітори.

Детектори вірусів можна запускати регулярно або якщо виникла підозра на вірус. Звичайно, такі програми мають бази даних з визначеннями вірусів (антивірусні бази). Ефективність захисту від вірусів залежить від регулярності запуску утіліти-детектора і поновлення антивірусних баз. Процедуру поновлення потрібно виконувати щоденно. З метою випередження вірусних епідемій розробники антивірусів (зокрема відома Лабораторія Касперського) пропонують декілька поновлень щодня.

Антивірусні монітори запускаються під час завантаження системи і залишаються активними в її пам’яті. Такі резидентні програми слідкують за всіма подіями в системі, вони перевіряють всі програми, що запускаються, на предмет наявності вірусів та при виявленні знищують їх.

Будуючи корпоративну мережу, практично завжди необхідно створювати систему захисту, що буде відповідати за контроль її зовнішнього периметру.Основними засобами для цього є:

– фільтри мережевого трафіку;

– міжмережеві екрани (брандмауери);

– системи виявлення мережевих атак.

Насамперед необхідно забезпечити фільтрування вхідного та вихідного трафіку, що може бути реалізовано сучасними маршрутизаторами. Проте застосування тільки мережевих фільтрів для надійного захисту недостатнє, оскільки вони мають ряд недоліків. Серед них ідентифікація відправника і користувача тільки за IP-адресою та неможливість контролювати зміст блоків даних сеансового та прикладного рівнів. Для усунення цих недоліків використовують міжмережеві екрани.

Для виявлення атак, що побудовані на використанні помилок мережевого програмного забезпечення та операційних систем, призначені системи виявлення мережевих атак (Network Intrusion Detection System, NWS), які інколи називають системи виявлення атак IDS.

Мережеві системи виявлення атак можуть використовуватися в двох режимах:

– блокування на певний час вузла, що є джерелом атаки;

– завершення TCP-з’єднання шляхом посилання на атакуючий та атакований вузли команди переустановлення з’єднання – „TCP-reset".